DoS (Denial of Service Denial of Service) och DDoS (Distributed Denial of Service Distributed Denial of Service) attacker är storskaliga webbplatser och webbserver säkerhetshot. Februari 2000, Yahoo, hade Amazon, CNN och andra exempel på attacker, varit huggen i historien av större säkerhetsincidenter.
SYN Flood attacker på grund av dess verkan, har blivit det populäraste sättet att DoS och DDoS attacker.
TCP SYN Flood Använda protokoll fel, skicka ett stort antal förfalskade TCP-anslutning begäran, genom utarmning av det anfallande sidan, inte kan svara på eller ta itu med en normal service begäran. En normal TCP anslutning kräver tre-vägs handskakning, den första klienten skickar ett SYN paket flagga, då servern returnerar ett SYN / ACK svar paket som kundens begäran beviljas den slutliga kunden tillbaka en bekräftelse paket ACK, Detta komplett TCP-anslutning. Skicka ett svar paket på serversidan, om kunden inte skickar bekräftelse kommer servern att vänta till timeout under semi-ansluten stat hålls i en buffert kö utrymmet är begränsat, och om ett stort antal SYN paket som skickas till servern svarar inte efter kommer att göra serversidan TCP snabb utarmning av resurserna, vilket resulterar i en normal anslutning inte kan komma in, eller ens få servern kraschar.
Brandvägg är vanligtvis används för att skydda det interna nätverket från obehörig åtkomst externa nätverk, som ligger mellan klient och server, så använd en brandvägg för att förhindra DoS-attacker kan effektivt skydda den interna servern. Mot SYN Flood är brandväggsskydd vanligtvis tre sätt: SYN Gateway, Gateway och SYN SYN passivt relä.
SYN Gateway-brandväggen klientens SYN paket fick de direkt överförs till servern, brandväggen innan servern SYN / ACK-paket, kommer sidan vara SYN / ACK paket överlämnandet till kunden, dels namnet på klienten till servern loopback ett ACK paket för att slutföra TCP tre-vägs handskakning, anslutningsstatus till serversidan och en halv till anslutningsstatus. När klienten den verkliga ACK-paket anländer, är de uppgifter som överförs till servern, annars kasta paketet. Eftersom servern kan bära anslutningsstatus är mycket högre än den semi-kontakt och därför bör denna metod kan effektivt minska attacken på servern.
Passiv SYN Gateway SYN begäran om att brandväggen timeout-parametrar, är det mycket mindre än vad servern avstängningstiden. Firewall Client är ansvaret för att överföra SYN paket skickas till servern skickade servern till klientens SYN / ACK paket, och kundens ACK paket skickas till servern. Således, om kunden när tiden går ut i brandväggen inte att skicka ACK-paket, är brandväggen att skicka RST paket till servern, så servern från kön genom att ta bort den semi-anslutning. Som brandvägg timeout parametern är mycket mindre än den tidsgräns för servern, så det kan effektivt förhindra SYN Flood attacker.
SYN Relay brandvägg som inkommer efter kundens SYN paket inte skickas till servern, men då ta initiativ till att registrera status information tillbaka till klienten för att skicka SYN / ACK paket om de erhållna kundens ACK paket är att en normal besök av brandväggen skicka SYN paket till servern och fylla i tre-vägs handskakning. Denna agent används av brandväggen som en klient och server-side-anslutning kan du inte helt filtrera skickas till servern med anslutningen.